何が起きたか
OpenAIはAdvanced Account Securityを導入した。これはChatGPTアカウント向けの追加保護で、Codex にも適用される。パスワード依存をやめ、passkeyや物理セキュリティキーを前提にし、SMSやメール復旧を無効化する。さらに、Trusted Access for Cyber の利用者には6月1日から有効化が求められる。
何が変わるか
AIアカウントは、ただのログイン先ではない。会話履歴、業務の文脈、接続ツール、場合によっては機密情報まで集まる。そこを守るには、パスワードより強い仕組みが要る。今回の変更は、AI時代の標準認証をひとつ引き上げる動きだ。
現場への波及
特に影響が大きいのは、記者、研究者、政治活動家、セキュリティ関係者のように、アカウント侵害のコストが高い人たちだ。だが一般ユーザーにとっても、AIアカウントは業務ポータル化している。ひとつ乗っ取られると、他のサービスにも連鎖する。だから防御は後回しにできない。
注意点
より強い保護は、同時に復旧の難しさも増やす。失った場合にSupportが戻せない設計は、安心と引き換えに責任が重くなることを意味する。導入前に、回復キーの管理や端末の紛失対策を決めておかないと、守るための機能が自分を締め出す。
見方
この発表は、AIが「使う道具」ではなく「守るべき資産」になったことの証拠だ。モデルの性能より、入口の堅牢さが問われる段階に来ている。強いAIほど、アカウント保護も強くする必要がある。
具体例
たとえば、複数端末でChatGPTとCodexを使うなら、スマホの認証だけでは不十分だ。物理キーを予備含めて持ち、復旧手段を紙や金庫で管理するほうが現実的だ。AIを深く使うほど、ログインの設計が仕事の設計になる。
この手の保護は、普段は面倒に見えて、いざというときに最も効く。パスワード漏えいが前提の世界では、パスワードを強くするより、パスワードから離れるほうが合理的だ。OpenAI の今回の動きは、その現実に正面から合わせたものだ。
AIアカウントは、メールより重いことがある。だからこそ、守りの基準もメールより厳しくていい。